아마존웹서비스(AWS), 마이크로소프트(MS), 구글클라우드 등 해외 클라우드서비스제공사(CSP)가 이르면 연말부터 물리적 망 분리 없이 공공 클라우드 시장에 진입할 수 있게 될 전망이다. 정부가 규제 개혁의 하나로 클라우드보안인증(CSAP) 개편 작업에 착수하면서다. CSAP를 데이터 민감도에 따라 상·중·하(가칭) 세 단계로 나눠 보안인증 기준을 차등화한다는 것이 핵심이다. 네이버클라우드, 카카오엔터프라이즈, KT클라우드, NHN클라우드 등 국내 CSP는 정부가 CSAP를 등급제로 전환하면 민간 시장에 이어 공공 시장마저 외국 기업이 잠식할 것으로 우려하고 있다.
30일 관련 업계에 따르면 과학기술정보통신부는 IaaS(서비스형 인프라)를 대상으로 최대 14개 분야 117개 항목을 심사, 평가하는 CSAP를 등급제로 바꾸기 위해 오는 9월 말까지 세부안을 마련하고 이를 뒷받침하기 위한 시행령, 고시, 지침 등 필요한 제도 개정을 추진한다. 과기정통부는 앞서 지난 18일 제5회 국정현안점검조정회의에서 발표한 ‘정보보호 규제개선 추진상황 및 계획’에서 상대적으로 덜 중요한 데이터를 다루는 클라우드 서비스에는 인증 부담을 줄여주겠다며, 최저 등급 인증에서 물리적 망 분리와 같은 기준을 없애겠다고 시사했다.
CSAP의 물리적 망 분리 조건은 2015년 제도 시행 이후 해외 기업의 공공 클라우드 시장 참여를 막는 방파제 역할을 해왔다. 공공기관용 클라우드 서버와 민간 기업용 클라우드 서버를 물리적으로 다른 공간에 조성하고 관리 인력도 별도로 둬야 한다는 내용에 특히 AWS, MS, 구글클라우드 등 미국 기업의 반발이 거셌다. 정보의 중요도와 관계없이 모든 기관에 망 분리를 적용하는 건 한국만의 지나친 규제라는 게 이들의 주장이다. 실제 미국의 클라우드 보안 인증인 페드램프(FedRAMP)는 정보 유출시 파급효과를 세 가지 등급으로 나누고 그에 따라 망 분리 대상을 정하고 있다. 이들 기업은 CSAP 기준대로 취약성 점검 및 침투 시험을 진행하면 영업 기밀인 소스코드(소프트웨어 제작에 쓰이는 설계 파일)를 공개할 수밖에 없다고도 지적한다.
AWS, MS, 구글 클라우드 등은 이에 다방면으로 정부에 완화를 요청해온 것으로 알려졌다. 지난 5월 조 바이든 미국 대통령이 방한한 뒤로는 주한미국상공회의소가 과기정통부 장관에게 관련 내용이 담긴 공문을 보냈다는 소식이 전해지기도 했다. 국가정보원은 이후 지난 6월 국내 CSP와 CSAP에 대해 논의하는 자리를 마련했다. 과기정통부는 같은 달 30일 ‘제2차 디지털 국정과제 연속 현장 간담회’에서 CSAP 개편을 공식화했다. 설재진 과기정통부 사이버침해대응과장은 당시 “관계 부처에도 대부분 국민이 이용할 수 있는 제품, 즉 중요도나 민감도가 낮은 제품에 대해서는 기준을 완화해야 한다는 공감대가 형성돼 있다”며 “해외 사례를 참고해 최대한 합리적인 수준에서 일부 규제를 푸는 안을 만들겠다”고 했다.
정부는 국내 서비스형 소프트웨어(SaaS) 업계의 요청에 따라 CSAP 개편을 진행한다는 입장이다. 중소 SaaS 업체들이 고객사별 데이터베이스(DB) 분리를 요구하는 CSAP에 불만을 호소하고 있다는 설명이다. 하지만 국내 CSP의 시각은 다르다. 정부가 미국과의 통상 마찰을 우려해 6년 넘게 운영해온 제도 개편에 속도를 내고 있다는 것이다. 미 무역대표부(USTR)는 지난 3월 발간한 ‘2022년 각국 무역 장벽 보고서’에서 CSAP를 미국 기업에 대한 ‘핵심 장벽’으로 규정하고 “미국은 한국의 클라우드 보안 인증 요건을 국제적으로 인정되는 다른 표준에 맞추기 위해 한국과 지속적으로 협력하겠다”고 밝혔다. 한 국내 CSP 관계자는 “모든 게 급작스럽게 일어나고 있다”며 “미국 정부가 사실상 제도를 바꾸라고 압박한 영향으로 보인다”고 했다.
국내 CSP는 CSAP 개편에 반대하고 있다. 국내 업체가 지금까지 공공 클라우드 시장에서 경쟁력을 유지해온 데에는 CSAP가 큰 역할을 했는데, 이를 완화하면 삽시간에 외국 기업에 주도권을 뺏길 것이고 지적한다. 행정안전부가 2025년까지 실시하는 ‘행정·공공기관 정보시스템 클라우드 전환·통합 사업’의 1차 사업은 NHN클라우드(9개 기관), 네이버클라우드(4개 기관), KT클라우드(3개 기관)가 각각 수주했다. 이 기업들은 2차 사업에서도 7개 기관(NHN클라우드, 네이버클라우드)과 2개 기관(KT클라우드)을 수주했다. 한국지능정보사회진흥원(NIA)에 따르면 올해 정부·공공기관의 전체 클라우드 사업 규모는 1조2320억원으로 역대 최대다. 다른 국내 CSP 관계자는 “국내 기업과 해외 기업은 체급이 비교가 안 될 정도로 차이가 난다”며 “국내 업체는 민간 시장에 이어 공공 시장에서까지 경쟁 기회를 잃을 수 있다”고 했다.
보안 측면에서 오히려 CSAP를 강화해야 한다는 주장도 나온다. 과기정통부는 AWS 서울 리전(여러 데이터 센터가 모여있는 시설)이 도메인네임시스템(DNS) 오류를 일으켜 쿠팡, 마켓컬리 등이 접속 장애를 겪었던 지난 2018년 11월 22일, 사건 조사에 난항을 겪은 바 있다. AWS코리아는 당시 내부 사정을 이유로 같은 해 12월 4일로 정해진 현장조사를 미뤄 달라고 요청한 것으로 알려졌다. 과기정통부는 장애 발생 다음날인 23일 클라우드컴퓨팅법 위반 조사를 결정하고 중앙전파관리소에 AWS코리아 조사를 위임했다. 중앙전파관리소는 주말 직후인 26일 관련 공문을 보냈다. 또 다른 국내 CSP 관계자는 “보안 위험을 감수하면서까지 인증 제도를 완화하는 건 말이 안 된다”며 “정부가 참고하겠다고 한 외국의 사례와도 반대되는 행보다”라고 했다. 미국과 중국, 일본 정부는 현재 주요 공공기관에 자국 기업의 클라우드를 활용 중이다.
국내 CSP 업계는 정부의 미흡한 소통에도 답답함을 호소하고 있다. 관계자들은 “행안부, 국정원, 과기정통부가 이해관계자들을 제각각 따로 만나고 있다”며 “개편안의 세부 사항을 정할 때만큼은 3개 부처와 산학연이 모두 모여 의견을 공유해야 한다”고 입을 모았다. 한 관계자는 “공공 클라우드는 국가의 데이터 주권과 직결된다”며 “정부는 데이터의 중요도를 어떤 기준으로 나눌지 각계의 의견을 충분히 수렴해 정해야 한다”고 했다.